我刚刚读到了一份关于 Drift Protocol 最近发生事件的相当令人不安的分析。结果显示，这起 2.7 亿美元的漏洞并非一次随机袭击，而是一个由朝鲜情报机构精心策划、历时约六个月的情报行动。

最令人担忧的是他们如何实施。一个与朝鲜国家有关联的团体渗透进入 Drift 的生态系统，假扮成量化交易公司。要理解什么是 Drift 以及它如何运作，你需要知道它是一个基于多重签名来提供安全保障的 DeFi 协议。至于这些攻击者，他们极其有耐心，也极其老练。首先，他们大约在 2025 年秋季联系上了，在一次重要的加密货币会议上以“交易专家”的身份进行自我介绍。他们拥有可验证的专业资质，能说出该协议的技术语言，并且知道究竟该说些什么。

在数月期间，他们围绕策略与生态系统的金库进行了深入交流——这在签约机构如何融入 DeFi 协议的过程中完全算得上正常。不过，在 2025 年 12 月至 2026 年 1 月之间，他们纳入了一个生态系统金库，与 Drift 的合作方开展了工作会议，存入了超过 100 万美元的自有资金，并在生态系统内实现了运作层面的立足。最大胆的是：他们在 2 月和 3 月期间于多次重要会议上，竟然与 Drift 团队进行了线下面对面的会面。到 4 月发动攻击时，这段关系已经持续了将近半年。

这次渗透通过两个技术向量实现。首先，他们下载了一款 TestFlight 应用——这是苹果用于分发未经安全审查的预发布应用的平台——并把它包装成他们的“资产组合”产品。其次，他们利用了 VSCode 和 Cursor 中一个已知漏洞——这两款都是开发中最常用的代码编辑器之一——其中只要打开文件就会在没有任何提示的情况下执行任意代码。一旦攻陷了设备，他们便获得了完成攻击所需的内容，从而拿到让 4 月 1 日攻击得以实施的两项多重签名批准，并在不到 1 分钟内转走了 2.7 亿美元。

研究人员将这一切归因于 UNC4736（也被称为 AppleJeus 或 Citrine Sleet），这是一个与朝鲜国家有关联的团体。有意思的是，亲自到场会面的那些人并不是朝鲜公民，而是中间人：他们的身份都经过完全编造，拥有虚假的工作经历，以及经过精心设计的职业网络，足以骗过任何验证。

这对整个 DeFi 行业暴露出一个令人不适的问题：如果攻击者愿意投入六个月与 100 万美元来打造“合法存在”，愿意与团队线下面对面会面，并耐心等待，那么当前到底有什么安全模型能够真正发现这种行为？Drift 现在提醒行业必须审计访问合约，并将每一台与多重签名发生交互的设备都视为潜在目标。真正的核心问题在于：在 DeFi 中作为主要安全模型的多重签名，是否足以抵御这种级别的对手。